Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Появился Downloader (заявка № 10966)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39

    Thumbs up Появился Downloader

    Здравствуйте!:-)
    Возникла такая неприятная проблема.
    Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
    Все пунты Правил выполнил.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1289
    Отключитесь от сети.
    Закройт все программы. Отключите антивирус.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
     QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
     DeleteFile('E:\WINDOWS\system32\ntos.exe');
     ExecuteSysClean;
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Скрипт выполнил и закачал карантин.
    Жду от Вас вестей.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    ntos.exe - Trojan-Spy.Win32.Bancos.aam.

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Как я понимаю, мне надо удалить этот файл, да?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    Его уже удалили. Это просто к сведению.

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Просто дело в том, что SAV, всё равно, выдаёт этот вирус

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    12520437b.exe - Backdoor.Win32.IRCBot.abc

    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe
    Повторите логи.

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Спасибо, сейчас выполню указания.

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Всё выполнил!Вот новые получившиеся логи.
    Что можете сказать, док?
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteSvc('SCardSvrERSvc');
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,
    Повторите логи.

  13. #12
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Вот, какие логи получились в этот раз. По-моему, всё чисто.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.

  15. #14
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Будет сделано! :-)

  16. #15
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Удалил указанный вами файл. Вот лог.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?

  18. #17
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    Нет, ничего такого не имеется.

    Добавлено через 1 минуту
    а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
    Последний раз редактировалось ghostil; 11.07.2007 в 13:48. Причина: Добавлено сообщение

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.

  20. #19
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    39
    к сожалению, остатков нет

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1693
    У вас есть дистрибутив Windows XP SP2?

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.03.2010, 12:00
    2. Ответов: 6
      Последнее сообщение: 22.12.2009, 13:03
    3. Появился, порнобаннер
      От okurok126 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.08.2009, 20:04
    4. появился cologsver.exe
      От refzul в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.12.2007, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00485 seconds with 17 queries